Oracle Cloudデータベースのデータベース管理プライベート・エンドポイントの作成
プライベート・エンドポイントを作成して、ベース・データベース・サービス、ExaDB-DまたはExaDB-XSでデータベース管理をOracle Cloudデータベースに接続できます。
このトピックの情報は、ベース・データベース・サービスのOracle Cloudデータベース(ExaDB-DおよびExaDB-XS)にのみ適用され、ExaDB-C@CのOracle Cloudデータベースには適用されません。
プライベート・エンドポイントは、Oracle CloudデータベースにアクセスできるVCN内のデータベース管理を表したもので、選択したサブネット内でプライベートIPアドレスを持つVNICとして機能します。VCNで作成されたプライベート・エンドポイントを使用して、同じVCN内で使用可能なOracle Cloudデータベースのデータベース管理診断および管理を有効にでき、複数のVCN間では使用できません。プライベート・エンドポイントは、Oracle Cloudデータベースと同じサブネット上にある必要はありませんが、Oracle Cloudデータベースと通信できるサブネットである必要があります。
データベース管理では、次のタイプのプライベート・エンドポイントを作成できます:
- 単一インスタンスOracle Cloudデータベースのプライベート・エンドポイント: ベース・データベース・サービス内の単一インスタンスOracle Cloudデータベースに接続するために、テナンシに(リージョンごとに)最大7つのデータベース管理プライベート・エンドポイントを作成できます。単一のプライベート・エンドポイントを使用して診断および管理を有効にできる単一インスタンス・データベースの数に制限はありません。単一インスタンスOracle Cloudデータベースのプライベート・エンドポイントは、1つのプライベートIPアドレスのみを持ちます。
- RAC Oracle Cloudデータベースのプライベート・エンドポイント: テナンシに3つのデータベース管理プライベート・エンドポイント(リージョン当たり)を作成して、ベース・データベース・サービスのRAC Oracle Cloudデータベースに接続できます(ExaDB-DおよびExaDB-XS)。RAC Oracle Cloudデータベースのプライベート・エンドポイントは、2つのプライベートIPアドレスを持ちます。
VCNには、各タイプのプライベート・エンドポイントを1つ作成できます。つまり、単一インスタンス・データベース用とRACデータベース用に1つずつプライベート・エンドポイントを作成できます。テナンシ内の7つのシングル・インスタンス・プライベート・エンドポイントおよび3つのRACプライベート・エンドポイントのデフォルト制限よりも多くのプライベート・エンドポイントが必要な場合は、プライベート・エンドポイント制限の拡大をリクエストできます。詳細は、Oracle Cloudデータベースの診断および管理を有効にする際に発生するエラーを参照してください。
次の図は、データベース管理プライベート・エンドポイントがOracle Cloudデータベースと通信する方法の概要を示しています。

プライベート・エンドポイントの詳細は、プライベート・エンドポイントについてを参照してください。
VCNでデータベース管理プライベート・エンドポイントを作成する前に、Oracle Cloud Infrastructureの仮想ネットワーキング・リソースを使用するために必要な権限を取得し、データベース管理プライベート・エンドポイントを作成する必要があります。詳細は、Oracle Cloudデータベースの診断および管理を有効にするために必要な権限を参照してください。
データベース管理プライベート・エンドポイントを作成するには:
データベース管理プライベート・エンドポイントの詳細を表示するには、その名前をクリックします。「プライベート・エンドポイントの詳細」ページでは、次のことができます:
- 関連付けられたVCNやサブネット、およびデータベース管理プライベート・エンドポイントに割り当てられたプライベートIPアドレスなどの詳細を表示します。セキュリティ・ルールを構成するには、プライベートIPアドレス情報が必要です。
- 「詳細」タブの「データベース」セクションで、関連付けられたデータベースを表示します。
- 「作業リクエスト」タブで、プライベート・エンドポイントに関連する作業リクエストをモニターします。特定の作業リクエストをクリックすると、作業リクエスト情報、ログ・メッセージおよびエラー・メッセージ(ある場合)を表示できます。
- 「タグ」タブで、タグ関連タスクを実行します。
プライベート・エンドポイントのセキュリティ属性の管理
オプションで、Zero Trust Packet Routing (ZPR)セキュリティ属性をプライベート・エンドポイントに追加して、ZPRポリシーを介したアクセスを制御できます。ZPRは、これらの属性を既存のネットワーク・コントロールとともに評価します。
セキュリティー属性およびZPRの詳細は、Security Attributesおよび Overview of Zero Trust Packet Routingを参照してください。
プライベート・エンドポイントにセキュリティ属性を追加する場合は、必要なZPRポリシーが設定されていることを確認してください。そうしないと、目的のトラフィックをブロックできます。
設定
プライベート・エンドポイントにセキュリティ属性を追加する前に、必要なZPR設定を完了し、ネットワーク構成で目的のトラフィックが許可されていることを確認します。
- 必要なIAM権限、セキュリティ属性ネームスペース、セキュリティ属性およびZPRポリシーがすでに構成されていることを確認します。詳細は、Zero Trust Packet Routing IAMポリシー、セキュリティ属性およびZero Trust Packet Routingポリシーを参照してください。
- 適用可能なZPRポリシーが目的のトラフィックを許可するように、プライベート・エンドポイントに追加するセキュリティ属性を決定します。
重要な考慮事項
- 管理者は、ユーザーがプライベート・エンドポイントにセキュリティ属性を適用する前に、テナンシにセキュリティ属性ネームスペースおよびセキュリティ属性を設定する必要があります。
- セキュリティ属性を使用すると、プライベート・エンドポイントへのアクセスは、セキュリティ・リストやNSGなどの既存のネットワーク制御とともにZPRポリシーによって管理されます。
- セキュリティ属性は、適切なZPRポリシーが定義されている場合にのみ有効です。対応するポリシーなしでセキュリティ属性を追加した場合、NSGまたはセキュリティ・リストがトラフィックを許可しなくても、プライベート・エンドポイントへのアクセスはデフォルトで拒否されます。
- 最大3つのセキュリティ属性をプライベート・エンドポイントに追加できます。使用する属性がわからない場合は、ネットワーク管理者に連絡してください。
セキュリティ属性の追加
セキュリティ属性は、プライベート・エンドポイントの作成時に追加することも、プライベート・エンドポイントの作成後に「プライベート・エンドポイントの詳細」ページから追加することもできます。
「プライベート・エンドポイントの詳細」ページからセキュリティ属性を追加するには:
- プライベート・エンドポイントの「プライベート・エンドポイント詳細」ページに移動します
- 「セキュリティ」タブの「セキュリティ属性」セクションで、「追加」をクリックします。
- セキュリティ属性ネームスペース、キーおよび値を指定します。
- 「セキュリティ属性の追加」をクリックします。
セキュリティ属性のリスト
プライベート・エンドポイントに追加されたセキュリティ属性を表示するには、プライベート・エンドポイントの「プライベート・エンドポイントの詳細」ページに移動し、「セキュリティ」タブをクリックします。「セキュリティ属性」セクションには、プライベート・エンドポイントに追加されたセキュリティ属性がリストされます。